7月23日,安永發(fā)布第十五次全球信息安全年度調(diào)查,報告稱在黑客行為、間諜活動、有組織犯罪以及恐怖主義等日益加劇的情況下,2012年有77%的受訪企業(yè)注意到這種變化,而2009年僅有41%,2011年為72%。
本次調(diào)查邀請了包括中國在內(nèi)的64個國家、1850多位首席信息官(CIO)、首席信息安全官 (CISO) 和其他信息安全高管共同參與,是該領(lǐng)域調(diào)查中最為全面的一次。
報告稱,企業(yè)在信息安全方面所面臨的挑戰(zhàn)主要有,安全防范措施未能同步追隨云計算快速應(yīng)用的步伐,從2010年至2012年,云計算的應(yīng)用增長已翻倍,但仍有38%的受訪者表示所在企業(yè)沒有采取任何措施,緩解云計算所帶來的安全風(fēng)險;移動應(yīng)用大幅增長,但安全防護(hù)技術(shù)部署明顯滯后: 44%的受訪企業(yè)允許員工在工作中使用企業(yè)或者個人的平板電腦,但其中只有40%的企業(yè)對移動設(shè)備采用了加密技術(shù);社交媒介廣泛普及,成為企業(yè)安全隱患:31%的受訪者表示其企業(yè)并未采取相應(yīng)的機(jī)制來處理社交媒介的安全風(fēng)險;安全預(yù)算和能力匱乏,差距持續(xù)擴(kuò)大:62%的受訪問企業(yè)表示預(yù)算受限,是信息安全工作的主要障礙之一。此外,44%的企業(yè)表示,安全管理和執(zhí)行人員的能力偏低,嚴(yán)重阻礙了安全目標(biāo)的實現(xiàn)。
安永大中華區(qū)信息科技風(fēng)險與審計咨詢服務(wù)合伙人阮祺康表示;“企業(yè)只有從根本上轉(zhuǎn)變信息安全管理策略,才能有效應(yīng)對現(xiàn)有安全威脅,及由新興技術(shù)帶來的新的安全風(fēng)險。實施信息安全轉(zhuǎn)型旨在縮小脆弱性現(xiàn)狀和安全性目標(biāo)之間日趨擴(kuò)大的差距,這不依靠復(fù)雜的技術(shù)解決方案,而是需要領(lǐng)導(dǎo)力、承諾、能力和行動的勇氣,不是在一兩年之后而是當(dāng)下。”
安永大中華區(qū)信息科技風(fēng)險與審計咨詢服務(wù)總監(jiān)林育民表示,“在2011年的調(diào)查中,BYOD(Bring Your Own Device)比率僅為20%;而今年的調(diào)查結(jié)果顯示,有44%的企業(yè)允許員工在工作中使用企業(yè)或者個人的平板電腦。這導(dǎo)致企業(yè)內(nèi)外信息交互量激增,也令相應(yīng)的安全管控變得更加困難。”
事實上,在快速發(fā)展的移動應(yīng)用環(huán)境中,對應(yīng)的安全技術(shù)與軟件的使用率仍然較低,調(diào)查中發(fā)現(xiàn),只有40%的企業(yè)對其移動設(shè)備采用了加密技術(shù)。
“對于有些企業(yè)來說,安全專業(yè)人士、安全成熟度或安全預(yù)算也許在決策過程中起到一定作用;然而,這些修補式或簡單疊加的應(yīng)付方案,看似滿足了短期的信息安全需求,但也掩蓋了潛在的巨大安全隱患。”林育民說。
報告稱,目前企業(yè)僅采用治標(biāo)式和修補式的解決方案提高信息安全能力,卻忽略了對信息安全威脅的整體與全面的應(yīng)對;僅約8%的受訪者表示在過去兩年中,企業(yè)發(fā)生的信息安全事故的數(shù)量有所減少,因此建立一個強(qiáng)健的安全體系成為企業(yè)的當(dāng)務(wù)之急。然而,約有63%的受訪者稱其所在企業(yè)尚未建立信息安全整體架構(gòu)體系,只有約16%的受訪者認(rèn)為其所在企業(yè)的信息安全職能完全符合業(yè)務(wù)需求。